Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба Компьютерная
помощь |
Локальный доступ |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши |
|
|||||
|
Локальный доступ Итак, мы рассмотрели общие принципы получения удаленного доступа. Как уже упоминалось выше, большинство взломщиков, используя изъяны в защите средств удаленного доступа, стремятся получить локальный доступ. Если злоумышленнику удается получить интерактивный доступ к командной оболочке, он рассматривается системой как локальный пользователь. Хотя при удаленном взломе в некоторых случаях злоумышленникам удается сразу же получить доступ к компьютеру в качестве суперпользователя root, в большинстве случаев им приходится начинать с доступа в качестве обычного пользователя. Таким образом, взломщик должен заняться деятельностью, призванной расширить его полномочия от простого пользователя до суперпользователя. Эта деятельность называется расширением полномочий (privilege escalation). Сложность методики расширения полномочий зависит как от типа и версии используемой операционной системы, так и от качества ее настройки на конкретном компьютере. Некоторые операционные системы по умолчанию принимают все меры, препятствующие обычным пользователям расширять полномоия до уровня суперпользователя root, тогда как другие позволяют это делать. Например, пользователю операционной системы OpenBSD, установленной с параметрами настройки, принятыми по умолчанию, значительно сложнее расширить свои полномочия до уровня root, чем, скажем, пользователю операционной системы Irix. Конечно, индивидуальная настройка может значительно повысить уровень общей безопасности системы. В следующем разделе этой главы будут рассматриваться методы, позволяющие обычному пользователю получить доступ к системе на уровне суперпользователя. Необходимо заметить, что, хотя для большинства взломщиков типичным является поведение, заключающееся в попытках получить доступ на уровне root, в некоторых случаях у злоумышленника может не быть такой необходимости. Например, если взломщика интересует получение доступа к базе данных Oracle, то ему, скорее всего, достаточно будет получить доступ к учетной записи, под которой работает Oracle, а не к учетной записи root. |
||||
Поиск неправильно выбранных паролей Как уже отмечалось выше, после того, как взломщику
удалось получить доступ, самую большую угрозу для безопасности представляют
собой легко угадываемые пароли. Не имеет значения, идет ли речь об
удаленном или локальном доступе — неправильно выбранные пароли представляют
собой одно из самых слабых мест системы защиты. Ввиду того что выше
мы уже указывали на основные проблемы, связанные с выбором паролей,
здесь мы остановимся в основном на изучении методов взлома.
Из всего многообразия программ, предназначенных для
взлома паролей, можно выделить Crack 5.0а Алека Маффета (Alec Muffett)
и John the Ripper. Программа Crack 5.0л, которую для краткости мы
будем называть просто Crack, является, пожалуй, самой популярной программой
взлома паролей. К тому же она постоянно совершенствуется, а ее весьма
обширный словарь, содержащий очень широкий спектр возможных паролей
— от ненормативной лексики до названий из сериала Star Trek, — постоянно
пополняется. Crack поддерживает даже возможность распределения вычислений,
предназначенных для взлома пароля, на нескольких компьютерах. Программа
John the Ripper, или просто John, является более новой, чем Crack
5.0a. Ее отличительная особенность заключается в высокой степени оптимизации
для взлома максимально возможного количества паролей за минимальное
время. Кроме того, John поддерживает больше алгоритмов хэширования,
чем Crack. Обе программы позволяют проверять не только слова, находящиеся
в словаре, но и их модификации. По умолчанию в состав каждого из этих
двух инструментов входит более 2400 правил, которые можно применить
к словарю для подбора паролей, которые, казалось бы, очень трудно
взломать. В комплект поставки обеих программ входит обширная документация,
с которой мы настоятельно рекомендуем ознакомится. Чтобы не рассматривать
все возможные параметры и режимы работы этих программ, мы покажем,
как запустить Crack на выполнение и прокомментируем полученные результаты.
Для этого вам необходимо знать структуру файла паролей. Если вы недостаточно
владеете данным вопросом, обратитесь к хорошей книге по UNIX. Crack 5.0a Для того чтобы запустить программу Crack, достаточно
указать, где находится файл паролей, а затем лишь дождаться результата.
Crack является самокомпилирующейся программой, поэтому после запуска
на самом деле вызывается утилита make, которая собирает воедино все
необходимые компоненты. Одной из сильных сторон программы Crack является
обширный набор правил создания различных словоформ и модификаций.
Кроме того, при каждом запуске эта программа генерирует пользовательский
список слов, в который включается такая информация, как имя пользователя,
а также сведения, указанные в поле GECOS (комментарии). Именно поэтому
не забывайте посмотреть на поле GECOS при взломе паролей! Очень часто
в поле GECOS пользователи указывают свое полное имя и при этом выбирают
пароль, который представляет собой некоторую комбинацию имени и фамилии
или их частей. Программа Crack очень легко справляется с такими несложными
паролями. Давайте посмотрим как выглядит типичный файл паролей, а
затем попробуем применить к нему программу взлома. root:cwIBREDaWLHmo:0:0:root:/root:/bin/bash [tsunamitt Crack passwd [tsunami]# Reporter -quiet В завершение необходимо рассмотреть еще один вопрос: как определить используемый алгоритм хэширования? В нашем примере использовался алгоритм DES, являющийся стандартным в большинстве версий UNIX. Если в системе установлены дополнительные средства обеспечения безопасности, то тогда, скорее всего, будут применяться алгоритмы MD5 и blowfish. Хэш-код пароля, полученный с помощью MD5, значительно длиннее хэш-кода DES и идентифицируется наличием символов $1 в качестве двух первых символов хэш-кода. Символы $2, содержащиеся в начале хэш-кода, говорят о том, что для хэширования использовался алгоритм blowfish. Если вам нужна программа для взлома паролей, защищенных с помощью MD5 или blowfish, мы настоятельно рекомендуем использовать John the Ripper. John the Ripper John the Ripper — одна из лучших утилит взлома паролей,
доступных в настоящее время. Ее версии как для UNIX, так и для NT
можно найти по адресу http://www.openwall.com/john/. Как уже упоминалось,
программа John является одной из лучших и самых быстрых утилит и она
очень проста в применении. [shadow]# John passwd Контрмеры: защита от взлома неправильно выбранных паролей Контрмеры, позволяющие защитить систему от попыток
взлома неправильно выбранных паролей, приведены в разделе "Защита
От Подбора Паролей "В Лоб"" выше в данной главе. Локальное переполнение буфера Взлом путем локального переполнения буфера — один
из самых популярных видов атак. Как уже упоминалось выше в этой главе
в разделе "Удаленный Доступ", используя переполнение буфера,
взломщик может запустить на интересующей его системе произвольный
код или команду. В большинстве случаев переполнение буфера применяется
для взлома файлов, работающих в контексте SUID суперпользователя,
что обеспечивает злоумышленнику возможность запуска команд с привилегиями
root. Выше в разделе "Взлом Путем Переполнения Буфера" этой
главы мы уже рассматривали, как при возникновении переполнения буфера
можно выполнить произвольный код. В этом разделе мы на нескольких
примерах рассмотрим, как происходит типичный взлом путем локального
переполнения буфера. [quake]$ ./ex_lobc Контрмеры: защита от локального переполнение буфера Лучшим методом зашиты от локального переполнения
буфера является учет требований безопасности в процессе программирования,
а также включение режима, запрещающего выполнение кода, находящегося
в стеке. Достаточно выполнить хотя бы последнее требование, чтобы
значительно усложнить работу злоумышленника, который попытается написать
программу, использующую только что рассмотренный изъян. Полный перечень
контрмер приведен в разделе "Взлом Путем Переполнения Буфера"
данной главы. Здесь мы лишь добавим, что очень хорошей практикой является
установка бита SUID только для тех программ, которым действительно
необходим доступ на уровне суперпользователя. Символьные ссылки Устаревшие, рабочие и временные файлы в той или иной
степени "захламляют" большинство систем. К счастью, в UNIX
большинство временных файлов создается в одном каталоге /tmp. Однако,
хотя, с одной стороны, это и удобно, с другой — несет в себе определенную
опасность. Многие программы, работающие в контексте SUID суперпользователя,
создают рабочие файлы в каталоге /tmp или других подобных каталогах
даже без намека на какую-либо проверку соблюдения правил безопасности.
Основная проблема связана с использованием некоторыми программами
при доступе к файлам символьных ссылок без проверки того, является
ли тот или иной файл ссылкой или же реальным файлом. Символьная ссшка
(symbolic link) — это файл специального вида, созданный с помощью
команды In. По сути, такой файл представляет собой не что иное, как
ссылку на другой файл. Давайте, например, создадим символьную ссылку
/tmp/fоо на файл /etc/passwd. [quake]$ 1s -1 /etc/passwd [quake]$ In -s /etc/passwd /var/dt/appconfig/ [quake]$ /usr/dt/bin/dtappgather Контрмеры: защита от взлома с использованием символьных ссылок В данном случае самой лучшей защитой является программирование
с учетом требований безопасности. К сожалению, алгоритмы многих программ
не предусматривают проведение профилактической проверки уже созданных
файлов. Прежде чем создавать файл, программист должен проверить его
существование, воспользовавшись флагами O_EXCL | O_CREAT. При создании
временных файлов задайте маску с помощью команды umask, а затем воспользуйтесь
функциями tmpfileO или mktemp (). Если вам действительно интересно
знать, какими программами создаются временные файлы, воспользуйтесь
следующей командой в каталоге /bin или /usr/sbin/. Взлом с помощью дескриптора файла Дескрипторы файлов (file descriptor) — это неотрицательные
целые числа, которые используются системой для управления файлами.
Дескрипторы позволяют облегчить работу операционной системы, устраняя
необходимость манипуляции именами файлов. В соответствии с принятыми
соглашениями, дескрипторы 0, 1 и 2 определяют стандартный входной
поток, стандартный выходной поток и стандартный поток ошибок соответственно.
Таким образом, когда функции ядра открывают существующий файл или
создают новый, они возвращают определенный дескриптор, который может
использоваться программой для выполнения над этим файлом операций
чтения/записи. Если дескриптор соответствует файлу, который был открыт
для чтения и записи (O_RDWR) привилегированным процессом, то во время
модификации этого файла взломщик может получить к нему доступ и произвести
в него запись. Таким образом, с помощью этого метода можно модифицировать
один из важных системных файлов и получить доступ на уровне суперпользователя.
#Chanqing user database information for gk. Теперь только что запущенная командная оболочка имеет унаследованный доступ к дескриптору открытого файла. Воспользуемся описанным подходом и добавим в файл паролей учетную запись с UID 0. [dinky]$ nohup ./chpass & int Контрмеры: защита от взлома с помощью дескриптора файла Разработчики программ, предназначенных для работы
в контексте SUID, должны следить за корректностью распределения дескрипторов
файлов. В частности, при системном вызове execveO необходимо устанавливать
флаг close-on-exec. Как уже упоминалось выше, необходимо также сбросить
бит SUID у всех программ, для которых его устанавливать необязательно.
Гонки на выживание В реальной жизни хищник нападает на жертву, когда
она наименее защищена. В ки-берпространстве эта аксиома также имеет
место. Компьютерные взломщики, как правило, стремятся воспользоваться
недостатками в системе защиты программы или процесса при выполнении
ими какой-нибудь привилегированной операции. Обычно при этом время
взлома-планируется таким образом, чтобы повредить программу или процесс
после того, как они перейдут в привилегированный режим, но до завершения
использования привилегированных прав. В большинстве случаев этот временной
интервал достаточно ограничен, поэтому взломщикам нужно очень хорошо
рассчитать момент нападения, чтобы успеть вовремя скрыться со своей
добычей. Недостаток системы защиты, позволяющий злоумышленнику установить
факт наличия такого временного интервала, называется состоянием гонки
на выживание (race condition). Если взломщику удается вмешаться в
нор-мальную работу в то время, когда процесс или программа находится
в привилегированном состоянии, то говорят о том, что он "выигрывает
гонку" (winning the race). Состояние гонки на выживание может
быть различных типов. Мы ограничимся описанием тех из них, которые
связаны с обработкой сигналов. Проблемы обработки сигналов В системе UNIX сигналы (signal) обеспечивают механизм,
используемый для извещения процесса о том, что возникло какое-то определенное
условие. Кроме того, с помощью сигналов обрабатываются асинхронные
события. Например, когда пользователь хочет приостановить работу выполняющейся
программы, он нажимает комбинацию клавиш <Ctrl-t-Z>. При этом
всем активным процессам (foreground) рассылается сигнал SIGTSTP. Таким
образом, с помощью сигналов изменяется ход выполнения программы. Как
и раньше, выражение "изменяется ход выполнения программы"
должно вызвать у вас мгновенную реакцию, так как такие действия обычно
таят в себе угрозу для безопасности. Действительно, возможность влиять
на ход выполнения работающей программы — одна из самых важных проблем
в обеспечении безопасности обработки сигналов. Если бы дело ограничивалось
лишь сигналом SIGTSTP, это было бы не столь критично, однако в действительности
для подобных целей может использоваться свыше 30 сигналов, что, как
вы понимаете, представляет собой сложную проблему. Контрмеры: защита от взлома с помощью сигналов Когда речь идет о файлах SUID, корректная обработка
сигналов должна быть обязательным требованием. Если программа перехватывает
и обрабатывает сигналы надлежащим образом, конечный пользователь не
сможет сделать ничего такого, что нарушило бы безопасность. Конечно,
об этом должны позаботится программисты, а администратор прежде всего
должен убедиться в том, что бит SUID установлен только для тех файлов,
которым это действительно необходимо. Об этом уже неоднократно говорилось.
Кроме того, нужно удостовериться в том, что установлены все модули
обновления, предоставленные разработчиком операционной системы. Манипуляции с файлами дампов Возможность получения дампа (core file) при выполнении
программы может привести гораздо к более серьезным последствиям, чем
кажется на первый взгляд. Во время работы системы UNIX в памяти может
находиться много важной информации, включая, например, хэш-коды паролей,
считанные из скрытого файла паролей. Одним из примеров манипуляций
с файлами дампов является изъян, имевший место в старых версиях FTPD.
Сервер FTPD позволял взломщикам записать дамп оперативной памяти в
общедоступный файл, размещаемый в корневом каталоге. Для этого перед
подключением к серверу нужно было лишь передать команду PASV. Помимо
прочего в файле дампа содержалась часть скрытого файла паролей и в
большинстве случаев хэш-коды пользовательских паролей. Если взломщику
удавалось найти эти коды в файле дампа, он получал возможность взломать
привилегированную учетную запись и получить доступ к системе на уровне
суперпользователя. Контрмеры: защита от взлома с помощью файлов дампов Файлы дампов — это неизбежное зло. Несмотря на то
что они могут предоставить взломщику конфиденциальную информацию,
они также обеспечивают получение не менее важной информации и системному
администратору в тех случаях, когда выполнение программы завершается
аварийно. Если того требуют ваши правила обеспечения безопасности,
можно ограничить генерацию файлов дампов с помощью команды ulimit
и даже полностью отключить ее, установив ulimit равным 0 в системном
профиле. Более подробную информацию по команде ulimit вы найдете в
интерактивной справочной системе. [tsunami]$ ulimit -a Совместно используемые библиотеки Совместно используемые библиотеки (shared library)
позволяют исполняемым файлам обращаться к функциям общего назначения
во время выполнения. Соответствующий программный код заранее компилируется,
а затем помещается в ту или иную совместно используемую библиотеку.
При запуске программы, которой нужна какая-то функция, находящаяся
в такой библиотеке, программа обращается к этой библиотеке, загружает
в память нужный код и выполняет его. Главным преимуществом таких библиотек
является экономия дискового пространства и оперативной памяти, а также
упрощение сопровождения программ, так как обновление библиотеки автоматически
влечет за собой обновление функциональности всех работающих с ней
программ. Конечно, за повышенное удобство приходится расплачиваться
ослаблением безопасности. Если взломщику удастся модифицировать совместно
используемую библиотеку или с помощью переменных окружения ему удастся
переключить программы на применение своей собственной библиотеки,
это может привести к получению им доступа на уровне суперпользователя.
Контрмеры: защита совместно используемых библиотек При зафузке модулей с установленным флагом SU1D суперпользователя
динамические компоновщики должны игнорировать значения переменной
окружения LD_PRELOAD. Пуристы могут возразить, что совместно используемые
библиотеки должны быть хорошо написаны и нет никакой опасности в том,
что они указаны в переменной LD_PRELOAD. В действительности же в этих
библиотеках могут оказаться ошибки, снижающие безопасность системы
при выполнении кода, хранящегося в библиотеке, в контексте SUID. Более
того, защищать совместно используемые библиотеки (например, /usr/lib
или lie) нужно также тщательно, как и самые важные файлы. Если взломщик
сможет получить доступ к /usr/lib или /lib, система станет абсолютно
беззащитной. Изъяны ядра Не секрет, что UNIX является очень сложной и надежной
операционной системой. Из-за сложности в UNIX и других мощных операционных
системах неизбежно имеются определенные программные ошибки. В UNIX
наиболее опасный недостаток связан с самим ядром. Ядро представляет
собой внутренний компонент операционной системы, в котором реализована
общая модель ее подсистемы защиты. Эта модель обеспечивает обработку
разрешений на использование файлов и каталогов, расширение и отключение
привилегий файлов SUID, обработку сигналов и т.д. Если слабое место
появляется в самом ядре, то под угрозой оказывается безопасность всей
операционной системы в целом. Контрмеры: защита ядра Описанный изъян имеет место во многих системах Linux.
Поэтому соответствующий модуль обновления системному администратору
нужно установить в первую очередь. К счастью, это очень просто осуществить.
Для тех, кто использует ядро версии 2.2.x, достаточно просто обновить
его до версии 2.2.16 или более высокой. Неправильная настройка системы В предыдущих разделах мы описали часто встречаемые
изъяны, а также методы, с помощью которых злоумышленники могут воспользоваться
этими недоработками и получить привилегированный доступ. Перечень
таких изъянов и соответствующих методов достаточно велик, однако в
распоряжении взломщиков имеется гораздо больше методов взлома, чем
можно было бы предположить исходя из такого перечня. Это объясняется
тем, что зачастую нарушение безопасности происходит не только и не
столько из-за наличия технических дефектов в системе защиты, сколько
из-за недостаточно тщательной настройки и неэффективных методов администрирования.
Операционная система может быть сама по себе очень безопасной и надежной,
но если системный администратор изменит права доступа к файлу /etc/passwd,
открыв его для всеобщего доступа, все остальные меры по защите данных
могут оказаться бесполезными. Именно этот человеческий фактор и недооценивается
в большинстве случаев. Права доступа к файлам и каталогам Простота и мощь системы UNIX основывается на реализованном
в ней механизме использования файлов. Независимо от того, являются
ли они двоичными исполняемыми программами, текстовыми конфигурационными
файлами или устройствами, все эти объекты представляют собой файлы
с соответствующими правами доступа. Если система разрешений недостаточно
хорошо реализована или намеренно изменена администратором, безопасность
системы может быть значительно снижена. Ниже описаны два самых распространенных
недостатка в процедурах администрирования, которые заключаются в установке
для файлов флага SUID, а также в создании файлов, общедоступных для
записи. Из-за ограничений на объем книги проблемы обеспечения безопасности
устройств (/dev) подробно не рассматриваются, однако это вовсе не
означает, что к ним можно применять менее строгие защитные меры. Злоумышленник,
который может создавать устройства или получать права чтения/записи
важнейших системных ресурсов, таких как /dev/kmem, практически гарантированно
сможет получить доступ на уровне суперпользователя. Файлы SUID Установка для файлов бита SUID или SGID — смертельно
опасна. Этим все сказано! Ни один другой файл системы UNIX не подвержен
столь частым попыткам злоумышленников всех мастей получить несанкционированный
доступ, как файл с SUID суперпользователя. Практически во всех описанных
выше случаях взлома были задействованы те или иные процессы, выполняющиеся
на уровне привилегий суперпользователя, — большинство из них уже имели
установленный бит SUID. Переполнение буфера, гонки на выживание и
взлом с использованием символьных ссылок никогда не принесут ожидаемого
эффекта, если для программы не установлен флаг SUID. К сожалению,
большинство разработчиков относятся к биту SUID так, как будто это
вышедшая из моды вещь. Пользователи, не заботящиеся о безопасности,
также заражаются таким образом мышления. Многие из них слишком ленивы
для того, чтобы предпринимать какие бы то ни было дополнительные меры
при выполнении работы и склонны полагать, что все программы должны
выполняться с уровнем привилегий суперпользователя. [tsunami]# find / -type f -perm -04000 -Is В документации HOWTO по программе dos сказано следующее. "Хотя dosemu отключает привилегии root везде, где это возможно, безопаснее не запускать ее от имени суперпользователя, особенно если вы планируете запускать под ее управлением программы DPMI. Большинство обычных программ DOS не требует запуска dosemu от имени суперпользователя, особенно если она запускается в среде X. Поэтому во всех случаях, когда это возможно, вы не должны позволять пользователям запускать копии dosemu в контексте SUID суперпользователя, а лишь в контексте обычного пользователя. Этот режим можно настроить на уровне пользователей, используя файл /etc/dosemu.users." Таким образом, в документации однозначно говорится о том, что пользователям рекомендуется запускать копию программы без установленного флага SUID. На нашей тестовой системе такие ограничения не применялись, о чем мы узнали из файла /etc/dosemu.users. Данный пример некорректной настройки демонстрирует именно то, к чему стремится любой злоумышленник: в системе имеется файл, с помощью которого с высокой степенью вероятности можно получить доступ на уровне суперпользователя. Злоумышленник может воспользоваться программой dos с установленным битом SUID как для непосредственного взлома, так и для определения того, можно ли с ее помощью применить такие методы, как переполнение буфера, использование символьных ссылок и так далее для взлома других программ. Это можно назвать классическим примером того, как программа, обладающая ничем не оправданным уровнем привилегий SUID, подвергает значительному риску безопасность всей системы. Контрмеры: защита от взлома с использэванием SUID-файлов Лучшей мерой по защите от взлома, основанного на
использовании SUID/SGID-файлов, является сброс флага SUID/SGID у как
можно большего количества файлов. Исчерпывающий список файлов, которые
не должны иметь такого бита, привести трудно в связи с большими различиями
в версиях UNIX разных разработчиков. Поэтому любой перечень, который
мы могли бы представить в данной книге, почти наверняка окажется неполным.
Можем лишь посоветовать провести инвентаризацию всех SUID/SGID-файлов
и проверить, действительно ли необходимо, чтобы тот или иной файл
имел привилегии на уровне суперпользователя. Для этого вы можете использовать
метод, который применяют взломщики, когда хотят найти SUID/SGID-файлы.
С помощью следующей команды можно найти все SUID-файлы. Общедоступные для записи файлы Еще одной типичной ошибкой в настройке является разрешение
записи в важные файлы всем пользователям. Как и в случае файлов SUID,
общедоступные для записи файлы создаются для удобства работы. Однако
за это приходится расплачиваться понижением уровня защиты важной информации.
Если администратор не замечает очевидных недостатков, то злоумышленники,
как правило, находят их очень быстро. К файлам, которые часто открывают
для всеобщего доступа, относятся системные файлы инициализации, важные
системные конфигурационные файлы и пользовательские файлы запуска.
Давайте рассмотрим некоторые примеры того, как взломщик может воспользоваться
общедоступными для записи файлами, find / -perm -2 -type f -print
/etc/rc.d/rc3.d/S991ocal [tsunami]$ echo "/bin/cp /bin/sh /trap/.sh ; Контрмеры: защита общедоступных для записи файлов Регулярный поиск всех общедоступных для записи файлов
является хорошей практикой системного администратора. Измените права
записи для всех найденных каталогов и файлов, которые не должны быть
общедоступными. Конечно, решение о том, нужно ли тот или иной файл
или каталог делать общедоступным, иногда принять довольно сложно,
поэтому мы рекомендуем исходить хотя бы из здравого смысла. Если этот
файл используется при инициализации, конфигурации или запуске системы,
то, скорее всего, он не должен быть общедоступным. Однако помните,
что файлы драйверов некоторых устройств, находящиеся в папке /dev,
должны быть общедоступными. Поэтому применяйте взвешенный подход к
вносимым изменениям и тщательно тестируйте работоспособность системы
после каждого существенного изменения. Взлом командной оболочки Командная оболочка UNIX представляет собой очень
мощную программу, которая обеспечивает удобную работу пользователей.
Одной из главных отличительных особенностей окружения командной оболочки
UNIX является возможность программировать команды, а также устанавливать
определенные параметры, влияющие на работу самой командной оболочки.
Конечно же, как часто бывает в подобных ситуациях, богатые возможности
имеют и обратную сторону, проявляющуюся в наличии многочисленных слабых
мест с точки зрения обеспечения безопасности. Одним из самых популярных
методов взлома является использование переменной IFS (Internal Field
Separator). Взлом IFS Переменная IFS предназначена для отделения друг от
друга слов, используемых в окружении командной оболочки. Обычно значением
переменной IFS является символ пробела, который служит для разделения
команд по умолчанию. Манипулируя переменной IFS, взломщик может запустить
с помощью какой-нибудь SUID-программы "троянского коня"
и получить, таким образом, привилегии суперпользователя. Обычно в
этих целях используется сценарий командной оболочки с установленным
флагом SUID, однако в рассматриваемом примере мы воспользуемся программой
loadmodule. #!/bin/csh Контрмеры: защита переменной IFS При взломе с использованием переменной IFS в большинстве
случаев мишенью злоумышленников является системная функция system().
Вызов этой функции используется в оболочке sh для анализа командной
строки перед ее выполнением Для того чтобы избежать возможных злоупотреблений,
можно применить простую программу, которая автоматически устанавливает
в качестве значения переменной IFS символ пробела. Ниже приведен пример
такой программы, код которой предоставил Джереми Рауч (Jeremy Rauch).
#define EXECPATH "/usr/bin/real/" |
|||||
|
|
|||
|